内部統制で注目される機能は「ワークフロー」と「監査」：今、見直されるアイデンティティ管理（2/3 ページ）

[�ﾔ嶋秀規、岡本 孝，ITmedia]

2つのパスワード連携

　パスワードの連携には次の2つの方法がある。1つは、アカウント情報と同様にパスワード情報も上流からスター型に各ターゲットシステムに配信する連携である（図3）。

　2つ目は、逆にローカルシステムでパスワードの変更を行い、その情報が他システムへも連携する「逆連携」の方法である（図4）。各システムでパスワードにはハッシュがかけられて保持されるので、そのままでは他システムへの連携はできない。システム側に用意したパスワードエージェントが、登録されたパスワードにハッシュがかけられる前にその情報を取得して他システムに連携するのである。

図3●パスワードの連携（スター型）

図4●パスワードの連携（逆連携型）

　例えば、WindowsクライアントからADのパスワード変更を行った場合はパスワード情報は他システムにも連携可能なため、図3のように専用のパスワード変更インタフェースを用意する必要がなくなり、ユーザーも慣れたインタフェースの利用だけで済む。ただし、ADに参加できないユーザーがいる場合には、専用インタフェースを用意する必要がある。この専用インタフェースとなるパスワードエージェントを多く用意する製品を選択したいが、経験からいうと、少なくともADのサポートは必要であろう。また、パスワード情報を一元管理する際、パスワードポリシーを詳細に定義できることも重要な要件となる。

ポリシー管理で各システムの権限を制御

　ポリシー管理とは、各システムに対する権限をコントロールするための条件付けである。どのシステムにアカウントを作成するのか、作成したアカウントにどのロールでの振る舞いやシステムの利用権限を与えるのかを管理する機能だ。

　このロールには、組織単位、役職、ロケーションなどをトリガーとして権限を与えるが、それをどこまでルール化し、ロジックを組み込めるのかが重要である。また、各システム固有の権限管理のためのグルーピングがあるが、どこまで抽象化できるのかも考慮したい。抽象化することによって監査や管理が容易になるからである。

　またパスワードポリシーについても、管理対象のシステムによって文字数や有効期限など定義できるポリシーが異なるため、これに対応させることが必要となる。上記のようなADでのログイン時にポリシーをかけて対応するか、専用インタフェースを用意することとなる。